Como posso exportar todas as políticas de grupo para um formato facilmente analisável?

8

Preciso despejar todas as Diretivas de Grupo no Active Directory para revisar offline posteriormente. Existe uma maneira de exportar facilmente todas as diretivas de grupo para texto ou algum outro formato facilmente analisável?

Edit: Essas ferramentas funcionam em um computador que não faz parte do domínio? Tenho credenciais de domínio, mas meu laptop de trabalho não é necessariamente parte do domínio que preciso revisar.

romandas
fonte

Respostas:

4

Infelizmente, com a natureza modular dos manipuladores de extensão de diretiva de grupo, não acredito que você encontre uma ferramenta melhor do que o Console de Gerenciamento de Diretiva de Grupo para fazer o que procura.

Seu caminho mais fácil será usar um computador associado ao domínio para executar o GPMC e examinar / exportar os GPOs. Obviamente, se houver GPOs que tenham suas permissões padrão modificadas, talvez você não tenha acesso a eles com suas credenciais para auditá-las.

Dado o quão fácil seria fazer o que você deseja com o GPMC em um computador membro do domínio, eu diria que você deveria fazer isso. Se você tiver problemas, eu o consideraria um problema "político" / de gerenciamento e não um problema técnico. O GPMC é a ferramenta certa para o trabalho e, se você espera fazer o trabalho, precisa ter acesso para fazê-lo. O mesmo aconteceria com o acesso aos GPOs aos quais suas credenciais de domínio podem não ter acesso.

Se você absolutamente não puder obter acesso a um computador membro do domínio executando o GPMC, sua próxima melhor alternativa (mas indesejável) seria ter um administrador lá fazendo backup de todos os GPOs e dando o backup para você. Você pode importar esse backup para outro domínio do AD que você controla e audita os GPOs lá. O problema dessa estratégia é que todas as informações de SID no domínio original serão incompreensíveis para você em seu próprio domínio (e serão perdidas se você "mapear" os GPOs importados para usuários / grupos dentro de seu domínio).

GPMC é sua ferramenta. Descubra como fazer com que os "poderes que estão" lhe permitam usar a ferramenta e você realize o trabalho com rapidez e eficiência.

Evan Anderson
fonte
3

A partir do Windows Server 2008 R2 ou Windows 7 com o RSAT instalado, você pode usar o Powershell para exportar todas as suas configurações de GPO para HTML ou XML Get-GPOReport.

Import-Module GroupPolicy

# Export a specific GPO
Get-GPOReport -Name MyFooGPO -ReportType Html -Path MyFooGPOReport.htm
Get-GPOReport -Name MyFooGPO -ReportType Xml -Path MyFooGPOReport.xml

# Export all GPOs
Get-GPOReport -All -ReportType Html -Path AllGPOsReport.htm
Get-GPOReport -All -ReportType Xml -Path AllGPOsReport.xml

Existem muitos outros cmdlets úteis contidos no módulo GroupPolicy .

oleschri
fonte
2

seria mais fácil solicitar ao administrador que faça backup de todos os GPOs usando o GPMC e forneça acesso a essa pasta de backup. Depois disso, você pode abrir sua instância do GPMC, apontar para essa pasta de backup e ler o que quiser na interface muito intuitiva do GPMC .

Outra opção seria verificar o script a seguir que acompanha o GPMC. (por padrão, C: \ Arquivos de Programas \ GPMC \ Scripts)

GetReportsForAllGPOs.wsf: gera relatórios XML para TODOS os GPOs em determinado domínio

GetReportsForGPO.wsf: gera relatórios XML e HTML para um determinado GPO

KAPes
fonte
1

O admx.exe no Windows Server 2003 Resource Kit permitirá que você faça isso.

O ADM File Parser (AdmX) é uma ferramenta de linha de comando que permite ao administrador exportar configurações de Diretiva de Grupo para um arquivo de texto delimitado por tabulação. O administrador pode usar o texto produzido pelo ADM File Parser (AdmX) para encontrar alterações nas configurações de política entre diferentes versões dos sistemas operacionais.

GregD
fonte
Esteja ciente de que o AdmX despeja apenas dados administrativos relacionados ao modelo. Devido à arquitetura modular das extensões de diretiva de grupo, nenhuma ferramenta pode fazer "tudo".
Evan Anderson
Você está correto, que é por isso que eu tenho que imprimir os guia "Configurações" para todos e cada um dos meus GPO no GPMC :)
Gregd
1

Peça ao administrador do GP que abra o snap-in Gerenciamento de Diretiva de Grupo para o Console de Gerenciamento Microsoft.

Quando você seleciona um GPO, existem quatro guias na parte superior: Detalhes do escopo Delegação de configurações

O escopo mostrará a você quem e / ou a que se aplica se você precisar auditar isso.

As configurações gerarão um relatório formatado em HTML de todas as configurações definidas no GPO, que é muito fácil de ler. Clicar com o botão direito do mouse em qualquer lugar da área de dados das Configurações permitirá que você "Salvar relatório ..." no formato HTML padrão.

Basta solicitar ao administrador do GP que salve o relatório de configurações para cada política que você deseja revisar :)

Garrett
fonte
0

Use GPMC para isso (você deve usá-lo para toda a sua gestão GPO de qualquer maneira ).

Maximus Minimus
fonte
Nesse caso, não sou eu quem gerencia os GPOs; Estou auditando.
Romandas